31-SSL VPN TCP接入方式典型配置举例
本章节下载: 31-SSL VPN TCP接入方式典型配置举例 (692.62 KB)
本章包含如下内容:
· 简介
· 配置前提
本文档介绍SSL VPN TCP接入方式的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解SSL VPN特性。
如图-1所示,SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用TCP接入方式可以安全地访问私有网络内的Telnet服务器Server。具体需求如下:
· SSL VPN网关设备对用户进行本地认证和本地授权。
· 为了增强安全性,服务器端证书不使用缺省证书,需向CA申请。
图-1 TCP接入方式配置组网图(非缺省证书)
· TCP接入方式不能开启验证客户端证书功能。
· 从Web界面启动TCP客户端应用程序需要事先在主机上安装Java 运行环境。
· 主机通过TCP接入方式访问内网资源时,可能会修改主机上的Host文件,此时需要使用该主机的用户具有管理员权限。
1. 配置接口IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,参数配置如下:
· 安全域:Untrust
· 选择“IPV4地址”页签,配置IP地址/掩码:1.1.1.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/2右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:2.2.2.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/3右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:192.168.100.3/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
· 目的IP地址:40.1.1.1
· 掩码长度:24
· 下一跳IP地址:1.1.1.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,并进行如下配置:
· 目的IP地址:20.2.2.2
· 掩码长度:24
· 下一跳IP地址:2.2.2.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置项使用缺省值
# 按照同样的步骤新建安全策略,配置如下。
· 名称:local-trust
· 源安全域:Local
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:2.2.2.2,192.168.100.3
· 目的IPv4地址:20.2.2.2,192.168.100.247
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 申请服务器端证书
# 选择“对象 > PKI > 证书主题”,进入证书主题界面,单击<新建>按钮,参数配置如下图所示。
图-2 证书主题配置
# 单击<确定>按钮。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<新建PKI域>按钮,参数配置如下图所示。
图-3 PKI域配置
# 单击<确定>按钮。
# 单击<提交申请>按钮,申请服务器端证书,参数配置如下图所示。
图-4 申请服务器端证书
# 单击<确定>按钮,页面会显示公钥,如下图所示。
图-5 公钥信息
# 将公钥信息复制,向CA申请服务器端证书(本例CA服务器为Windows Server 2008 R2)。单击<确定>按钮。
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-6 证书申请页面
# 单击<申请证书>按钮,跳转页面如下图所示。
图-7 证书申请页面
# 单击<高级证书申请>按钮,将复制的公钥信息粘贴至“Base-64编码的证书申请”输入框,
如下图所示。
图-8 证书申请页面
# 单击<提交>按钮,完成证书申请。
# 待CA管理员同意颁发证书后,在浏览器栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-9 证书申请页面
# 单击<查看挂起的证书申请的状态>按钮,跳转页面如下图所示。
图-10 查看挂起的证书申请的状态
# 单击<保存的证书申请>按钮,跳转页面如下图所示。
图-11 下载申请的证书
# 单击<下载证书>按钮,下载申请的服务器端证书,并保存好。
5. 下载CA证书
# 在浏览器地址栏输入http://192.168.100.247/certsrv,进入证书申请页面,如下图所示。
图-12 证书申请页面
# 单击<下载CA证书、证书链或CRL>按钮,跳转页面如下图所示。
图-13 下载CA证书
# 单击<下载CA证书>按钮,下载CA证书,并保存好。至此,证书申请工作已全部完成。
6. 导入证书
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的CA证书,
配置如下图所示。
图-14 导入CA证书
# 单击<确定>按钮,完成CA证书的导入。
# 选择“对象 > PKI > 证书”,进入证书页面,单击<导入证书>按钮,选择之前保存好的服务器端证书,配置如下图所示。
图-15 导入本地证书
# 单击<确定>按钮,完成本地证书的导入。
7. 配置SSL的服务器端策略
# 选择“对象 > SSL > 服务器端策略”,进入SSL服务器端策略页面,单击<新建>按钮,创建客户端策略,参数配置如下图所示。
图-16 配置服务器端策略
# 单击<确定>按钮,完成配置。
8. 配置SSL VPN网关
# 选择“网络 > SSL VPN > 网关”,进入SSL VPN网关页面,单击<新建>按钮,创建SSL VPN网关,参数配置如下图所示。
图-17 配置SSL VPN网关
# 单击<确定>按钮,完成配置。
9. 配置SSL VPN访问实例
# 选择“网络 > SSL VPN > 访问实例”,进入SSL VPN访问实例页面,单击<新建>按钮,创建SSL VPN访问实例,参数配置如下图所示,未显示的部分,采用默认配置即可。
图-18 配置SSL VPN访问实例
# 单击<下一步>,配置认证配置,参数配置如下图所示。
# 单击<下一步>,不配置URI ACL,继续单击<下一步>,在跳转的页面选择“TCP业务”,单击<下一步>。在端口转发表项中单击<新建>,参数配置如下图所示。
图-19 新建端口转发表项
# 单击<确定>,在端口转发列表单击<新建>,引用端口转发表项,单击<确定>,TCP接入资源如下图所示。
图-20 TCP接入资源
# 单击<下一步>,不配置快捷方式,继续单击<下一步>,在跳转的页面单击<新建>按钮,配置资源组,参数配置如下图所示。
图-21 配置资源组
# 单击<确定>按钮,资源组如下图所示。
图-22 资源组
# 单击<完成>按钮,完成配置。
# 在<使能>按钮的选择框上挑勾,使能配置的访问实例,如下图所示。
图-23 使能访问实例
10. 创建SSL VPN用户
# 选择“对象 > 用户 > 用户管理 > 本地用户”,进入用户界面,点击<新建>按钮,创建SSL VPN用户,参数配置如下图所示。
图-24 创建SSL VPN用户
# 为该用户授权SSL VPN策略组,参数配置如下图所示。
图-25 授权属性
# 单击<确定>按钮,完成配置。
# 配置IP地址、网关,保证到SSL VPN网关的路由可达。
# 在浏览器地址栏输入https://1.1.1.2,回车确认之后跳转到域列表选择页面,如下图所示。
图-26 域列表界面
# 单击 “domaintcp”,跳转到SSL VPN登录界面,输入用户名密码(用户名user1,密码123456),如下图所示。
图-27 SSL VPN登录界面
# 单击<登录>按钮,成功登录后可看到如下图所示的资源列表。
图-28 Web接入资源列表
# 单击<启动>按钮,启动TCP客户端,如下图所示。
图-29 启动TCP客户端
# SSL VPN客户端启动成功,如下图所示。
不能通过双击的方式打开对应的TCP应用程序。
图-30 SSL VPN客户端
# 在Host上执行telnet 127.0.0.23:2323,可以成功连接到Server。
如图-31所示,SSL VPN网关设备连接公网用户和企业私有网络。用户通过SSL VPN网关、采用TCP接入方式可以安全地访问私有网络内的Telnet服务器Server。具体需求如下:
· SSL VPN网关设备对用户进行本地认证和本地授权。
· 为了增强安全性,服务器端证书不使用缺省证书,需向CA申请。
图-31 TCP接入方式配置组网图(缺省证书)
· TCP接入方式不能开启验证客户端证书功能。
· 从Web界面启动TCP客户端应用程序需要事先在主机上安装Java 运行环境。
· 主机通过TCP接入方式访问内网资源时,可能会修改主机上的Host文件,此时需要使用该主机的用户具有管理员权限。
1. 配置接口IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,参数配置如下:
· 安全域:Untrust
· 选择“IPV4地址”页签,配置IP地址/掩码:1.1.1.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 单击接口GE1/0/2右侧的<编辑>按钮,参数配置如下:
· 安全域:Trust
· 选择“IPV4地址”页签,配置IP地址/掩码:2.2.2.2/24
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
· 目的IP地址:40.1.1.1
· 掩码长度:24
· 下一跳IP地址:1.1.1.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
# 按照同样的步骤新建IPv4静态路由,并进行如下配置:
· 目的IP地址:20.2.2.2
· 掩码长度:24
· 下一跳IP地址:2.2.2.3
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
· 名称:untrust-local
· 源安全域:Untrust
· 目的安全域:Local
· 类型:IPv4
· 动作:允许
· 源IPv4地址:40.1.1.1
· 目的IPv4地址:1.1.1.2
· 其他配置项使用缺省值
# 按照同样的步骤新建安全策略,配置如下。
· 名称:local-trust
· 源安全域:Local
· 目的安全域:Trust
· 类型:IPv4
· 动作:允许
· 源IPv4地址:2.2.2.2
· 目的IPv4地址:20.2.2.2
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 配置SSL VPN网关
# 选择“网络 > SSL VPN > 网关”,进入SSL VPN网关页面,单击<新建>按钮,创建SSL VPN网关,参数配置如下图所示。
图-32 配置SSL VPN网关
# 单击<确定>按钮,完成配置。
5. 配置SSL VPN访问实例
# 选择“网络 > SSL VPN > 访问实例”,进入SSL VPN访问实例页面,单击<新建>按钮,创建SSL VPN访问实例,参数配置如下图所示,未显示的部分,采用默认配置即可。
图-33 配置SSL VPN访问实例
# 单击<下一步>,配置认证配置,参数配置如下图所示。
# 单击<下一步>,不配置URI ACL,继续单击<下一步>,在跳转的页面选择“TCP业务”,单击<下一步>。在端口转发表项中单击<新建>,参数配置如下图所示。
图-34 新建端口转发表项
# 单击<确定>按钮,在端口转发列表单击<新建>按钮,引用端口转发表项,点击<确定>按钮,TCP接入资源如下图所示。
图-35 TCP接入资源
# 单击<下一步>,不配置快捷方式,继续单击<下一步>,在跳转的页面单击<新建>按钮,配置资源组,参数配置如下图所示。
图-36 配置资源组
# 单击<确定>按钮,资源组如下图所示。
图-37 资源组
# 单击<完成>按钮,完成配置。
# 在<使能>按钮的选择框上挑勾,使能配置的访问实例,如下图所示。
图-38 使能访问实例
6. 创建SSL VPN用户
# 选择“对象 > 用户 > 用户管理 > 本地用户”,进入用户界面,点击<新建>按钮,创建SSL VPN用户,参数配置如下图所示。
图-39 创建SSL VPN用户
# 为该用户授权SSL VPN策略组,参数配置如下图所示。
图-40 授权属性
# 单击<确定>按钮,完成配置。
# 配置IP地址、网关,保证到SSL VPN网关的路由可达。
# 在浏览器地址栏输入https://1.1.1.2,回车确认之后跳转到域列表选择页面,如下图所示。
图-41 域列表界面
# 单击 “domaintcp”,跳转到SSL VPN登录界面,输入用户名密码(用户名user1,密码123456),如下图所示。
图-42 SSL VPN登录界面
# 单击<登录>按钮,成功登录后可看到如下图所示的资源列表。
图-43 Web接入资源列表
# 单击<启动>按钮,启动TCP客户端,如下图所示。
图-44 启动TCP客户端
# SSL VPN客户端启动成功,如下图所示。
不能通过双击的方式打开对应的TCP应用程序。
图-45 SSL VPN客户端
# 在Host上执行telnet 127.0.0.23:2323,可以成功连接到Server。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!